Signatur (kryptografisch)

Eine kryptografische Signatur ist eine kurze Bytefolge, die beweist, dass eine bestimmte Nachricht von jemandem im Besitz eines privaten Schlüssels erzeugt wurde, ohne den privaten Schlüssel preiszugeben. Die Überprüfung der Signatur erfordert nur den zugehörigen öffentlichen Schlüssel (bei asymmetrischen Algorithmen) oder das gemeinsame Geheimnis (bei symmetrischen).

Der grundlegende asymmetrische Ablauf (mit RSA, ECDSA oder Ed25519):

1. Der Signierende hasht die Nachricht (typischerweise SHA-256).
2. Der Signierende verschlüsselt den Hash mit seinem privaten Schlüssel. Ausgabe: die Signatur.
3. Der Prüfer hasht die empfangene Nachricht mit derselben Hashfunktion.
4. Der Prüfer entschlüsselt die Signatur mit dem öffentlichen Schlüssel. Ausgabe: ein Hash.
5. Stimmen die beiden Hashes überein, ist die Signatur gültig und die Nachricht wurde nicht manipuliert.

Symmetrische Signaturen (HMAC) verwenden ein gemeinsames Geheimnis statt eines Schlüsselpaars. Signierender und Prüfer besitzen beide das Geheimnis; beide berechnen HMAC(secret, message) und vergleichen. Schneller als asymmetrisch; nur sinnvoll, wenn die Parteien einander bereits vertrauen (man will HMAC nicht für die Überprüfung durch Dritte, weil jeder mit dem Geheimnis Signaturen fälschen kann).

Wo Signaturen im praktischen Stack auftauchen: JWT-Tokens (das dritte Segment), TLS-Zertifikatsketten, Code-Signing (Apple-Notarisierung, Windows Authenticode), Git-Commits und -Tags (GPG-signiert), Bitcoin-Transaktionen, Software-Paketverteilung (Linux-Paketmanager, Homebrew-Formeln). Jeder Kontext bündelt die Signatur mit einem bestimmten Algorithmus und einer Schlüsselverwaltung; das zugrunde liegende Primitiv ist dasselbe.

Post-Quanten-Signaturen und die bevorstehende Migration: RSA, ECDSA und Ed25519 sind alle für Shors Algorithmus auf einem hinreichend großen Quantencomputer angreifbar. NISTs Post-Quanten-Kryptografie-Programm wählte 2024 drei Signaturverfahren – ML-DSA (Dilithium), SLH-DSA (SPHINCS+) und FN-DSA (Falcon) – als standardisierte Nachfolger. Reale Quantenmaschinen, die groß genug sind, um 2048-Bit-RSA zu brechen, existieren noch nicht, aber kryptografische Systeme mit langer Lebensdauer (Root-Zertifikate, Code-Signing-Schlüssel für archivierte Software, verschlüsselte Backups, die jahrzehntelang vertraulich bleiben sollen) migrieren vorsorglich. Hybridsignaturen (klassisch + Post-Quanten) sind die typische Übergangsstrategie. Referenz: NIST — Post-Quantum Cryptography Standardization.

Durchgerechnetes Beispiel

Signieren Sie die Nachricht "transfer $100 to alice" mit einem Ed25519-Schlüssel. Schritt eins: die Nachricht mit SHA-512 hashen, was einen 64-Byte-Digest ergibt. Schritt zwei: der Ed25519-Algorithmus kombiniert diesen Digest mit dem Skalar des 32-Byte-Privatschlüssels über eine deterministische Nonce-Erzeugung (RFC 8032) und erzeugt eine 64-Byte-Signatur (R, s). Schritt drei: jeder mit dem 32-Byte-Öffentlichkeitsschlüssel kann verifizieren, indem er den Kurvenpunkt neu berechnet und prüft, ob die Gleichung sB = R + H(R, A, M) · A gilt. Die Signatur ist kurz (64 Byte) und die Verifikation ist schnell (~50 µs auf einer modernen CPU). Entscheidend: Ed25519 ist deterministisch – dieselbe Nachricht zweimal mit demselben Schlüssel zu signieren erzeugt identische Bytes. RSA-2048 würde für dieselbe Nachricht eine 256-Byte-Signatur erzeugen; ECDSA über P-256 ergäbe ~71 DER-kodierte Bytes. Die Wahl des Algorithmus tauscht Signaturgröße, Verifikationsgeschwindigkeit und Schlüsselkompaktheit gegeneinander ab.

Wann und warum es zählt

Der Missbrauch von Signaturen ist nach dem Passwort-Hashing die häufigste kryptografische Schwachstelle. Die klassischen Fehler: das Signieren eines JSON-Blobs, dessen kanonische Form mehrdeutig ist (das Umordnen von Schlüsseln ändert die Bytes und bricht die Signatur, oder schlimmer noch, erlaubt einem Angreifer, zwei semantisch verschiedene Nachrichten mit denselben Bytes zu konstruieren), die Verwendung einer über zwei Nachrichten wiederholten deterministischen ECDSA-Nonce (was den privaten Schlüssel preisgibt – so wurde 2010 der Master-Key der PlayStation 3 extrahiert) und das Akzeptieren von Signaturen, ohne zu prüfen, ob das Algorithmus-Feld dem erwarteten entspricht (die Schwachstellenklasse “alg: none” in frühen JWT-Bibliotheken). Die Verteidigungsregeln: legen Sie den Algorithmus beim Prüfer fest, kanonisieren Sie die Nachricht vor dem Hashen (verwenden Sie COSE/JOSE, nicht ad-hoc-JSON), bevorzugen Sie für neuen Code Ed25519 gegenüber ECDSA und speichern Sie private Schlüssel in HSMs oder hardwaregestützten Enklaven, wenn das Bedrohungsmodell es rechtfertigt. Referenz: RFC 8032 — Edwards-Curve Digital Signature Algorithm (EdDSA).